Если вы не видите здесь изображений, то используйте VPN.

суббота, 19 декабря 2020 г.

Povlsomware

Povlsomware Ransomware 

RansomeToad Ransomware 

Povlsomware NextGen Ransomware 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Povlsomware и Povlsomware (2.0.0.0). На файле написано: Povlsomware.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.33339, Trojan.Encoder.33672, Trojan.Encoder.34143
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/RansomX.micih, TR/Ransom.lckub
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Microsoft -> Trojan:Win32/Ymacco.AAFD, Ransom:MSIL/CryptoLocker.DF!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_RAMSIL.SM, Ransom.MSIL.POVLSOM.SMTH
---

© Генеалогия: ??? >> Povlsomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .rtcrypted
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину декабря 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: ransometoad.txt

Другим информатором жертвы выступает экран блокировки: 



Содержание записки о выкупе:
Your files can only be retrived by entering the correct password. 
In order to get the password please by it in
hxxxs://primearea.biz/product/235093/

Перевод записки на русский язык:
Ваши файлы можно вернуть после ввода правильного пароля.
Чтобы получить пароль, введите его в
hxxxs://primearea.biz/product/235093/



Сумма покупки - 60 рублей. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransometoad.txt - название файла с требованием выкупа 
Povlsomware.pdb - название файла проекта 
Povlsomware.exe - название вредоносного файла 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Thomas\Desktop\Povlsomware-master\Povlsomware\obj\Debug\Povlsomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxxs://primearea.biz/product/235093/
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 21 января 2021:
Расширение: нет
Файл: Рекомендательное письмо.exe
Результаты анализов: VT + IA



Вариант от 23 марта и позже: 
Самоназвание: M.0.A.B. Ransomware
Расширение: нет
Email: m0absupport@protonmail.ch
Результаты анализов: VT + VT

 

➤ Содержание текста: 
ACCESS DENIED!
REJECTED PORT: 8081
IP ADDRESS:
Your files can only be retrieved by entering the
correct password. Dont Worry This Isnt
Permanent. Well Maybe. Its Up To You. If your
files are important ti you we can Unlock Your
Files For $200.00 In order to get the password
please send a mail And Ask for The Bitcoin
Addres to m0absupport@protonmail.ch
Enter password:  DeCrypt


Вариант от 19 июня 2021: 
Самоназвание: ALPHA LOCKER
C:\Users\ALPHA_HACKER\Downloads\Povlsomware-master\Povlsomware-master\Povlsomware\obj\Release\Povlsomware.pdb
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34046
BitDefender -> Gen:Variant.MSILHeracles.7859
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Malwarebytes -> Ransom.Povlsomware
Microsoft -> Ransom:MSIL/CryptoLocker.DF!MTB
TrendMicro -> Ransom_CryptoLocker.R002C0DFI21



Вариант от 12 июля 2021: 
Email: no-reply@forgetit.com
Файл проекта: C:\Users\Alpha\Downloads\Povlsomware-master\Povlsomware-master\Povlsomware\obj\x86\Release\Povlsomware.pdb
Код разблокировки: blahblah
Файл: Povlsomware.exe
Результаты анализов: VT


Вариант от 25 июля 2021:
C:\work\Povlsomware\Mishmash\obj\Debug\Mishmash.pdb
Код разблокировки: pass
Файл: Mishmash.exe
Результаты анализов: VT + IA


Вариант от 18 сентября 2021: 
Название в заголовке: Splash Ransomware
Email: medusalocker@protonmail.com
Код разблокировки: jara1234
Файл: Povlsomware.exe
Результаты анализов: VT


Вариант от 29 октября 2021: 
Самоназвание: CryptoLocker, CryptoCrazy 1.0 Ransomware
Email: dubai317898@gmail.com
Пароль: @7K#cN1P
Файл проекта: D:\Trabalho\Projeto_FInal\CriptLook_Todos\Povlsomware\obj\Debug\CryptoLocker.pdb
Файл EXE: CryptoLocker.exe
Результаты анализов: VT
MD5: 34b2aad3ab44ef46ecfe5c41f2dc2e9d



Вариант от 10 ноября 2021: 
Самоназвание: BloodFox
Обходит UAC, отключает средства безопасности и диспетчер задач в реестре. 
Расширение к зашифрованным файлам не добавляется. 
Email: noclue3636@dnmx.org
BTC: 1E8ywazpZT8UAi2ot6Se8YH5ipXZbuUJn7



Файл проекта: C:\Users\capde\Downloads\Povlsomware-2.0.0.4\Povlsomware-2.0.0.4\Povlsomware\obj\Debug\Priyte's Adventure C++.pdb
Пароль: 6HBB05VL
Файл: Priyte's Adventure C++.exe
Результаты анализов: VT + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34499
BitDefender -> Gen:Heur.Ransom.RTH.1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX
Microsoft -> Ransom:MSIL/CryptoLocker.DF!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Ransom.Hqvn
TrendMicro -> Ransom_CryptoLocker.R002C0DKA21


Вариант от 3 мая 2022:
Файл проекта: C:\Users\cubec\Desktop\AXO-LOCKERV2\AXO-LOCKER\AXO-LOCKER\obj\Debug\AXO-LOCKER.pdb
Файл: AXO-LOCKER.exe
Результаты анализов: VT + IA


Вариант от 1 июля 2022:
Файл проекта: C:\Users\minec\source\repos\RingMalware\RingMalware\obj\Release\RingMalware.pdb
Файл: RingMalware.exe
Результаты анализа: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.35529
ESET-NOD32 -> A Variant Of MSIL/Filecoder.ADX




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Povlsomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao, GrujaRS
 Andrew Ivanov (article author)
 dnwls0719
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *